我们度过了一个重要的 4 月 XNUMX 日 。 今天,我们发布了来自 Qualys 的安德烈·诺维科夫 (Andrey Novikov) 的演讲稿。 他将告诉您构建漏洞管理工作流程需要执行哪些步骤。 剧透:在扫描之前我们只会到达一半。
步骤#1:确定漏洞管理流程的成熟度级别
首先,您需要了解您的组织在漏洞管理流程的成熟度方面处于哪个阶段。 只有在此之后,您才能了解要移动到哪里以及需要采取哪些步骤。 在开始扫描和其他活动之前,组织需要做一些内部工作,从 IT 和信息安全的角度了解当前流程的结构。
尝试回答基本问题:
- 您是否有库存和资产分类流程?
- IT基础设施多久被扫描一次,整个基础设施是否被覆盖,你是否看到了全貌;
- 您的 IT 资源是否受到监控?
- 您的流程中是否实施了任何 KPI?您如何理解这些 KPI 得到了满足;
- 所有这些过程都有记录吗?
步骤#2:确保基础设施全面覆盖
你无法保护你不知道的东西。 如果您无法全面了解 IT 基础设施的构成,您将无法保护它。 现代基础设施非常复杂,并且在数量和质量上不断变化。
现在的IT基础设施不仅基于一系列经典技术(工作站、服务器、虚拟机),而且还基于相对较新的技术——容器、微服务。 信息安全服务正在以各种可能的方式逃离后者,因为它很难使用主要由扫描仪组成的现有工具集与它们合作。 问题是任何扫描仪都无法覆盖整个基础设施。 为了使扫描仪能够到达基础设施中的任何节点,几个因素必须一致。 扫描时资产必须位于组织的范围内。 扫描仪必须能够通过网络访问资产及其帐户,才能收集完整的信息。
根据我们的统计,对于中型或大型组织,大约 15-20% 的基础设施由于这样或那样的原因而未被扫描仪捕获:资产已移出边界或根本没有出现在办公室中。 例如,远程工作但仍可以访问公司网络的员工的笔记本电脑,或者资产位于 Amazon 等外部云服务中。 扫描仪很可能对这些资产一无所知,因为它们位于其可见区域之外。
要覆盖整个基础设施,您不仅需要使用扫描仪,还需要使用一整套传感器,包括用于检测基础设施中新设备的被动流量监听技术、用于接收信息的代理数据收集方法 - 允许您在线接收数据,而无需需要扫描,而不突出显示凭证。
步骤#3:对资产进行分类
并非所有资产都是生而平等的。 您的工作是确定哪些资产重要,哪些资产不重要。 没有任何工具(例如扫描仪)可以为您执行此操作。 理想情况下,信息安全、IT 和业务部门共同分析基础设施,以识别关键业务系统。 对于他们来说,他们确定可接受的可用性、完整性、机密性、RTO/RPO 等指标。
这将帮助您确定漏洞管理流程的优先级。 当您的专家收到有关漏洞的数据时,它不会是一张包含整个基础设施中数千个漏洞的表,而是考虑到系统重要性的精细信息。
步骤#4:进行基础设施评估
只有到了第四步,我们才会从漏洞的角度评估基础设施。 现阶段,我们建议您不仅要关注软件漏洞,还要关注配置错误,这也可能是漏洞。 这里我们推荐代理收集信息的方法。 扫描仪可以而且应该用于评估周边安全。 如果您使用云提供商的资源,那么您还需要从那里收集有关资产和配置的信息。 特别注意使用 Docker 容器分析基础设施中的漏洞。
步骤#5:设置报告
这是漏洞管理流程中的重要元素之一。
第一点:没有人会使用带有随机漏洞列表和如何消除漏洞的描述的多页报告。 首先,你需要与同事沟通,了解报告中应该包含哪些内容以及如何更方便他们接收数据。 例如,某些管理员不需要漏洞的详细描述,只需要有关补丁的信息及其链接。 另一位专家只关心网络基础设施中发现的漏洞。
第二点:我所说的报告不仅仅是纸质报告。 这是获取信息和静态故事的过时格式。 一个人收到一份报告后,不能以任何方式影响该报告中数据的呈现方式。 为了获得所需形式的报告,IT 专家必须联系信息安全专家并要求他重建报告。 随着时间的推移,新的漏洞会出现。 这两个学科的专家应该能够在线监控数据并看到相同的图片,而不是从一个部门推送到另一个部门的报告。 因此,在我们的平台中,我们使用可定制仪表板形式的动态报告。
步骤#6:确定优先级
在这里您可以执行以下操作:
1. 创建包含系统黄金映像的存储库。 使用黄金映像,检查它们是否存在漏洞并持续纠正配置。 这可以在代理的帮助下完成,代理将自动报告新资产的出现并提供有关其漏洞的信息。
2. 专注于对业务至关重要的资产。 世界上没有任何一个组织能够一次性消除漏洞。 消除漏洞的过程是漫长甚至乏味的。
3. 缩小攻击面。 清除基础设施中不必要的软件和服务,关闭不必要的端口。 我们最近遇到了一个案例,一家公司在 40 万台设备上发现了大约 100 万个与旧版 Mozilla 浏览器相关的漏洞。 后来事实证明,Mozilla 多年前就引入了黄金镜像,没有人使用它,但却是大量漏洞的根源。 当浏览器从计算机上删除(甚至在某些服务器上)时,这些数以万计的漏洞就消失了。
4. 根据威胁情报对漏洞进行排名。 不仅要考虑漏洞的严重性,还要考虑是否存在公共漏洞、恶意软件、补丁或对具有漏洞的系统的外部访问。 评估该漏洞对关键业务系统的影响:是否会导致数据丢失、拒绝服务等。
步骤#7:就 KPI 达成一致
不要为了扫描而扫描。 如果发现的漏洞没有发生任何变化,那么这次扫描就变成了无用的操作。 为了防止处理漏洞成为一种形式,请考虑如何评估其结果。 信息安全和 IT 必须就如何构建消除漏洞的工作、执行扫描的频率、安装补丁等达成一致。
在幻灯片上您可以看到可能的 KPI 示例。 我们还向客户推荐了一份扩展列表。 如果您有兴趣,请联系我,我将与您分享此信息。
步骤#8:自动化
再次返回扫描。 在 Qualys,我们认为扫描是当今漏洞管理流程中最不重要的事情,首先需要尽可能自动化,以便在没有信息安全专家参与的情况下执行扫描。 如今有很多工具可以帮助您做到这一点。 他们拥有开放的 API 和所需数量的连接器就足够了。
我喜欢举的例子是 DevOps。 如果您在那里实施漏洞扫描程序,您就可以忘记 DevOps。 使用旧技术(即经典扫描仪),您根本不会被允许进入这些过程。 开发人员不会等你扫描并给他们一份多页的、不方便的报告。 开发人员期望有关漏洞的信息能够以错误信息的形式进入他们的代码汇编系统。 安全性应该无缝地构建到这些流程中,并且它应该只是由开发人员使用的系统自动调用的功能。
步骤#9:关注要点
专注于为您的公司带来真正价值的事物。 扫描可以自动进行,报告也可以自动发送。
专注于改进流程,使其对每个参与者来说都更加灵活和方便。 重点确保安全性融入到与您的交易对手(例如为您开发 Web 应用程序)的所有合同中。
如果您需要有关如何在公司中构建漏洞管理流程的更多详细信息,请联系我和我的同事。 我很乐意提供帮助。
来源: habr.com